Disgruntled researcher leaks “BlueHammer” Windows zero-day exploit
Mis à jour :
Divulgation publique de la faille Windows « BlueHammer »
Un chercheur en sécurité, insatisfait de la gestion de son signalement par Microsoft, a publié le code d’exploitation d’une vulnérabilité zero-day nommée « BlueHammer ». Cette faille permet à un attaquant disposant d’un accès local d’élever ses privilèges pour obtenir un contrôle total du système (droits SYSTEM).
Points clés :
- Nature de la faille : Vulnérabilité d’élévation de privilèges locale (LPE) exploitant une combinaison de failles de type TOCTOU (Time-of-Check to Time-of-Use) et de confusion de chemin.
- Impact : Accès à la base de données SAM (Security Account Manager), permettant de récupérer les hashs de mots de passe et d’obtenir des privilèges SYSTEM sur la machine.
- État de l’exploitation : Le code PoC (Proof of Concept) publié est jugé instable et comporte des bugs, rendant son exécution peu fiable sur certaines versions de Windows (notamment Windows Server).
- Vulnérabilité : Aucune CVE n’a été attribuée pour le moment car aucun correctif officiel n’a été déployé par Microsoft.
Recommandations :
- Surveillance : Étant donné qu’aucun correctif n’est disponible, il est crucial de limiter les accès physiques aux terminaux et de restreindre les droits des utilisateurs locaux.
- Vigilance : Renforcer la sécurité des postes de travail contre les vecteurs d’accès initiaux (ingénierie sociale, autres failles logicielles), car l’exploitation nécessite une présence locale sur le système.
- Attente de patch : Surveiller les bulletins de sécurité officiels de Microsoft pour l’intégration d’un correctif dès sa sortie.